第11章-Windows-操作系統(tǒng)安全

第11章Windows操作系統(tǒng)安全李劍北京郵電大學(xué)信息安全中心E-mail:lijian@電話：130－01936882版權(quán)所有，盜版必糾概述

WindowsNT（NewTechnology）是微軟公司第一個(gè)真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過(guò)NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）、WindowsXP等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場(chǎng)。但是在Windows系統(tǒng)里面有一些安全配置，在默認(rèn)情況下是沒有設(shè)置的，需要根據(jù)具體情況進(jìn)行設(shè)置。版權(quán)所有，盜版必糾目錄第11章Windows操作系統(tǒng)安全11.1Windows操作系統(tǒng)介紹11.2Windows2000安全配置11.3安裝Windows操作系統(tǒng)注意事項(xiàng)11.4給操作系統(tǒng)打補(bǔ)丁版權(quán)所有，盜版必糾WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來(lái)比較方便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功能更加強(qiáng)大并且安全。WindowsNT系列操作系統(tǒng)具有以下三方面的優(yōu)點(diǎn)。1.支持多種網(wǎng)絡(luò)協(xié)議由于在網(wǎng)絡(luò)中可能存在多種客戶機(jī)，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而這些客戶機(jī)可能使用了不同的網(wǎng)絡(luò)協(xié)議，如TCP/IP協(xié)議、IPX/SPX等。WindowsNT系列操作支持幾乎所有常見的網(wǎng)絡(luò)協(xié)議。2.內(nèi)置Internet功能隨著Internet的流行和TCP/IP協(xié)議組的標(biāo)準(zhǔn)化，WindowsNT內(nèi)置了IIS（InternetInformationServer），可以使網(wǎng)絡(luò)管理員輕松的配置WWW和FTP等服務(wù)。3.支持NTFS文件系統(tǒng)Windows9X所使用的文件系統(tǒng)是FAT，在NT中內(nèi)置同時(shí)支持FAT和NTFS的磁盤分區(qū)格式。使用NTFS的好處主要是可以提高文件管理的安全性，用戶可以對(duì)NTFS系統(tǒng)中的任何文件、目錄設(shè)置權(quán)限，這樣當(dāng)多用戶同時(shí)訪問(wèn)系統(tǒng)的時(shí)候，可以增加文件的安全性。11.1Windows操作系統(tǒng)介紹版權(quán)所有，盜版必糾1.保護(hù)guest帳號(hào) 可以將guest帳號(hào)關(guān)閉、停用或改名。如果必需要用guest帳號(hào)的話，需將guest列入拒絕從“網(wǎng)絡(luò)訪問(wèn)”名單中(如果沒有共享文件夾和打印機(jī))，防止guest從網(wǎng)絡(luò)訪問(wèn)計(jì)算機(jī)、關(guān)閉計(jì)算機(jī)以及查看日志。如圖11.1所示。11.2.1保護(hù)帳號(hào)版權(quán)所有，盜版必糾2.限制用戶數(shù)量去掉所有的測(cè)試帳戶、共享帳號(hào)和普通部門帳號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。對(duì)于WindowsNT/2000主機(jī)，如果系統(tǒng)帳戶超過(guò)10個(gè)，一般能找出一兩個(gè)弱口令帳戶，所以帳戶數(shù)量不要大于10個(gè)。這些不用的帳戶可以去掉，如圖11.2所示。11.2.1保護(hù)帳號(hào)版權(quán)所有，盜版必糾11.2.1保護(hù)帳號(hào)版權(quán)所有，盜版必糾3.管理員帳號(hào)改名Windows2000中的Administrator帳號(hào)是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。具體操作的時(shí)候只要選中帳戶名改名就可以了，如圖11.3所示。11.2.1保護(hù)帳號(hào)版權(quán)所有，盜版必糾11.2.1保護(hù)帳號(hào)版權(quán)所有，盜版必糾4.建陷阱帳號(hào)陷阱帳號(hào)是創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些企圖入侵者忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?？梢詫⒃撚脩綦`屬的組修改成Guests組。密碼為大于32位的數(shù)字＋字符＋符號(hào)密碼，如圖11.4所示。建立的陷阱帳號(hào)如圖11.5所示。11.2.1保護(hù)帳號(hào)版權(quán)所有，盜版必糾11.2.1保護(hù)帳號(hào)版權(quán)所有，盜版必糾11.2.1保護(hù)帳號(hào)版權(quán)所有，盜版必糾好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號(hào)的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡(jiǎn)單，比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。這里給好密碼下了個(gè)定義：安全期內(nèi)無(wú)法破解出來(lái)的密碼就是好密碼，也就是說(shuō)，如果得到了密碼文檔，必須花43天或者更長(zhǎng)的時(shí)間才能破解出來(lái)，密碼策略是42天必須改密碼。11.2.2設(shè)置安全的密碼版權(quán)所有，盜版必糾設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，黑屏就可以了。將屏幕保護(hù)的選項(xiàng)“密碼保護(hù)”選中就可以了，并將等待時(shí)間設(shè)置為最短時(shí)間“1分鐘”，如圖11.6所示。11.2.3設(shè)置屏幕保護(hù)密碼版權(quán)所有，盜版必糾計(jì)算機(jī)里通常安裝有了些不必要的服務(wù)，如果這些服務(wù)沒有用的話，最好能將這些服務(wù)關(guān)閉。例如：為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。Windows中可禁用的服務(wù)及其相關(guān)說(shuō)明如表11.1所示。11.2.4關(guān)閉不必要的服務(wù)版權(quán)所有，盜版必糾11.2.4關(guān)閉不必要的服務(wù)版權(quán)所有，盜版必糾關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但是不可以認(rèn)為高枕無(wú)憂了?？梢栽诓僮飨到y(tǒng)里來(lái)限制端口的訪問(wèn)，如圖11.7所示為從操作系統(tǒng)TCP/IP里限制端口，只開放4個(gè)端口。關(guān)于這一點(diǎn)，在前面網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱患一章中已經(jīng)講過(guò)了。11.2.5關(guān)閉不必要的端口版權(quán)所有，盜版必糾 審核策略在默認(rèn)的情況下都是沒有開啟的。打開“控制面板”→“管理工具”→“本地安全設(shè)置”→“審核策略”，如圖11.8所示。11.2.6開啟系統(tǒng)審核策略版權(quán)所有，盜版必糾從圖中可以看到,9個(gè)審核策略都沒有打開。最好將這些信息審核信息都打開。以便于以后出現(xiàn)安全事件的時(shí)候進(jìn)行查找。雙擊要打開的審核策略選項(xiàng)，出現(xiàn)如圖11.9所示的界面。11.2.6開啟系統(tǒng)審核策略版權(quán)所有，盜版必糾系統(tǒng)密碼在默認(rèn)的情況下都是沒有開啟的。打開“控制面板”→“管理工具”→“本地安全設(shè)置”→“審核策略”，如圖11.10所示。11.2.7開啟密碼策略版權(quán)所有，盜版必糾11.2.7開啟密碼策略版權(quán)所有，盜版必糾系統(tǒng)帳戶鎖定策略在默認(rèn)的情況下都是沒有開啟的。打開“控制面板”→“管理工具”→“本地安全設(shè)置”→“帳戶鎖定策略”，如圖11.11所示。11.2.8開啟帳戶鎖定策略版權(quán)所有，盜版必糾11.2.8開啟帳戶鎖定策略版權(quán)所有，盜版必糾下載操作系統(tǒng)最新的安全補(bǔ)丁可以下載一些工具如，奇虎360安全衛(wèi)士等。打開奇虎360安全衛(wèi)士軟件主界面，選擇“修復(fù)系統(tǒng)漏洞”選項(xiàng)，如圖11.12：11.2.9下載最新的補(bǔ)丁版權(quán)所有，盜版必糾11.2.9下載最新的補(bǔ)丁版權(quán)所有，盜版必糾11.2.9下載最新的補(bǔ)丁版權(quán)所有，盜版必糾系統(tǒng)的共享為用戶帶來(lái)了眾多麻煩，經(jīng)常會(huì)有病毒通過(guò)共享來(lái)進(jìn)入電腦。Windows2000/XP/2003版本的操作系統(tǒng)提供了默認(rèn)共享功能，這些默認(rèn)的共享都有“$”標(biāo)志，意為隱含的，包括所有的邏輯盤（C$，D$，E$……）和系統(tǒng)目錄Winnt或Windows（admin$）。這些共享，可以在DOS提示符下輸入命令NetShare查看，如圖11.15所示。因?yàn)椴僮飨到y(tǒng)的C盤、D盤等全是共享的，這就給黑客的入侵帶來(lái)了很大的方便?！罢鹗幉ā辈《镜膫鞑シ绞街痪褪菕呙杈钟蚓W(wǎng)內(nèi)所有帶共享的主機(jī)，然后將病毒上傳到上面。下面給大家介紹5種可以關(guān)閉操作系統(tǒng)共享的方法。11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾 第一種方法:右鍵關(guān)系法。方法是打開“控制面板”→“管理工具”→“計(jì)算機(jī)管理”→“共享文件夾”→“共享”，在相應(yīng)的共享文件夾上右擊停止共享即可，如圖11.16所示。11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾但是細(xì)心的讀者會(huì)發(fā)現(xiàn)，如果采用這種方法關(guān)閉共享，當(dāng)用戶重新啟動(dòng)計(jì)算機(jī)后，那些共享又會(huì)加上了!所以這種方法不能從根本上解決問(wèn)題。第二種方法：批處理法。打開記事本，輸入以下內(nèi)容（記得每行最后要回車）：

netshareipc$/delete

netshareadmin$/delete

netsharec$/delete

netshared$/delete

netsharee$/delete……（有幾個(gè)硬盤分區(qū)就寫幾行這樣的命令）將以上內(nèi)容保存為NotShare.bat（注意后綴），然后把這個(gè)批處理文件拖到“程序”→“啟動(dòng)”項(xiàng)，這樣每次開機(jī)就會(huì)運(yùn)行它，也就是通過(guò)net命令關(guān)閉共享。如果哪一天需要開啟某個(gè)或某些共享，只要重新編輯這個(gè)批處理文件即可（把相應(yīng)的那個(gè)命令行刪掉）。11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾第三種方法：注冊(cè)表改鍵值法。單擊“開始”→“運(yùn)行”輸入“regedit”確定后，打開注冊(cè)表編輯器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”項(xiàng)，雙擊右側(cè)窗口中的“AutoShareServer”項(xiàng)將鍵值由1改為0，這樣就能關(guān)閉硬盤各分區(qū)的共享。如果沒有AutoShareServer項(xiàng)，可自己新建一個(gè)再改鍵值。然后還是在這一窗口下再找到“AutoShareWks”項(xiàng)，也把鍵值由1改為0，關(guān)閉admin$共享。最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”項(xiàng)處找到“restrictanonymous”，將鍵值設(shè)為1，關(guān)閉IPC$共享。本方法必須重啟機(jī)器才能生效，但一經(jīng)改動(dòng)就會(huì)永遠(yuǎn)停止共享。11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾第四種方法：停止服務(wù)法。這種方法最簡(jiǎn)單，打開“控制面板”的“計(jì)算機(jī)管理”窗口中，單擊展開左側(cè)的“服務(wù)和應(yīng)用程序”并選中其中的“服務(wù)”，此時(shí)右側(cè)就列出了所有服務(wù)項(xiàng)目。共享服務(wù)對(duì)應(yīng)的名稱是“Server”（在進(jìn)程中的名稱為services），找到后右擊它，在彈出的菜單中選擇“屬性”，如圖11.17所示。在彈出的Server屬性界面當(dāng)中選擇“常規(guī)”標(biāo)簽，把“啟動(dòng)類型”由原來(lái)的“自動(dòng)”更改為“已禁用”。然后單擊下面“服務(wù)狀態(tài)”的“停止”，再單擊“確定”，如圖11.18所示。這樣，系統(tǒng)中所有的共享都會(huì)去掉了。11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾第五種方法：卸載“文件和打印機(jī)共享”法。方法是右擊“網(wǎng)上鄰居”選“屬性”，在彈出的“網(wǎng)絡(luò)和撥號(hào)連接”窗口中右擊“本地連接”選“屬性”，從“此連接使用下列選定的組件”中選中“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”后，單擊下面的“卸載”，再單擊“確定”，如圖11.19所示。11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾注意：本方法最大的缺陷是當(dāng)在某個(gè)文件夾上右擊時(shí)，彈出的快捷菜單中的“共享”一項(xiàng)消失了，因?yàn)閷?duì)應(yīng)的功能服務(wù)已經(jīng)被卸載了，以后如果再想用共享時(shí)，需要重新加載這個(gè)協(xié)議。11.2.10關(guān)閉系統(tǒng)默認(rèn)共享版權(quán)所有，盜版必糾黑客利用TTL（Time-To-Live，活動(dòng)時(shí)間）值可以鑒別操作系統(tǒng)的類型，通過(guò)Ping指令能判斷目標(biāo)主機(jī)類型。Ping的用處是檢測(cè)目標(biāo)主機(jī)是否連通。許多入侵者首先會(huì)Ping一下主機(jī)，因?yàn)楣裟骋慌_(tái)計(jì)算機(jī)需要根據(jù)對(duì)方的操作系統(tǒng)是Windows還是Unix。如TTL值為128就可以認(rèn)為系統(tǒng)為Windows2000，如圖11.20所示。11.2.11禁止TTL判斷主機(jī)類型版權(quán)所有，盜版必糾11.2.11禁止TTL判斷主機(jī)類型版權(quán)所有，盜版必糾修改TTL的值，入侵者就無(wú)法入侵電腦了。比如將操作系統(tǒng)的TTL值改為111。方法是修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS中defaultTTL的鍵值。如果沒有，則新建一個(gè)雙字節(jié)項(xiàng)defaultTTL，如圖11.21所示；然后將其值改為十進(jìn)制的111，如圖11.22所示。設(shè)置完畢，重新啟動(dòng)計(jì)算機(jī)，再用Ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改成111了，如圖11.23所示。11.2.11禁止TTL判斷主機(jī)類型版權(quán)所有，盜版必糾11.2.11禁止TTL判斷主機(jī)類型版權(quán)所有，盜版必糾 如何安裝一個(gè)電腦操作系統(tǒng)才是一個(gè)安全的操作系統(tǒng)呢？這是經(jīng)常遇到的一個(gè)問(wèn)題。安裝一個(gè)安全的操作系統(tǒng)可以采用以下幾步：1.拔掉網(wǎng)線。

2．安裝操作系統(tǒng)。

3.安裝軟件防火墻，如Norton防火墻、天網(wǎng)防火墻、瑞星防火墻等。

4.安裝防病毒軟件，如Norton、瑞星、江民、金山等。

5.安裝防惡意軟件的軟件，如360安全衛(wèi)士、瑞星的卡卡、超級(jí)兔子等。

6.給操作系統(tǒng)進(jìn)行安全設(shè)置，如添加審核策略，密碼策略，對(duì)帳號(hào)進(jìn)行管理等。

7.插上網(wǎng)線。給操作系統(tǒng)打補(bǔ)丁。可以采用360安全衛(wèi)士等軟件來(lái)打補(bǔ)丁。

8.更新防火墻、防病毒、防惡意軟件。包括病毒庫(kù)、惡意軟件庫(kù)等。

9.安裝Easyrecovery，數(shù)據(jù)恢復(fù)軟件。關(guān)于Easyrecovery軟件的使用，會(huì)在后面19章是講解。10.安裝其它操作系統(tǒng)的應(yīng)用軟件。11.3安裝Windows操作系統(tǒng)注意事項(xiàng)版權(quán)所有，盜版必糾 信息系統(tǒng)為什么會(huì)遭受黑客、病毒等的攻擊呢？很多時(shí)候是因?yàn)?/p>